Contact
QR code for the current URL

Story Box-ID: 1160134

TÜV SÜD AG Westendstraße 199 80686 München, Germany http://www.tuvsud.com/de
Contact Mr Dirk Moser-Delarami +49 89 57911592
Company logo of TÜV SÜD AG

TÜV SÜD prüft Cybersecurity von IVD-Medizinprodukten

Neue Whitepaper

(PresseBox) (München, )
Die zunehmend digitale Vernetzung der medizinischen Infrastruktur führt zu komplexen Systemen mit vielen unterschiedlichen Schnittstellen, die potenziell angreifbar sind. Nach der IVDR müssen Hersteller die Cybersecurity vor Inverkehrbringen nachweisen. Die Übergangsfristen für bereits zertifizierte Produkte laufen gestaffelt ab 26. Mai 2025 ab. Aufgrund der begrenzten Zahl an Benannten Stellen kann es bei den Konformitätsbewertungsverfahren jedoch zu Engpässen kommen. TÜV SÜD unterstützt mit umfangreichen Prüf- und Testing-Services und stellt neue Whitepaper zur Verfügung.

„Das Thema betrifft alle Geräte, die mit einem Netzwerk verbunden werden können. In Krankenhaus-Laboren und -Stationen existieren zahlreiche IVD-Medizinprodukte, die mit Medizinprodukten und Informationssystemen vernetzt sind“, sagt Dr. Alexander Stock, Project Manager IVD Medical Device Testing bei TÜV SÜD. „Ein unbefugter Zugriff kann neben dem Verlust vertraulicher Daten vor allem die Patientensicherheit und sogar die öffentliche Gesundheit gefährden.“ Die Manipulation von Testdaten kann zu einer falschen Diagnose und somit zu einer falschen Therapie führen, aber auch zu Fehlschlüssen beispielsweise bei der Einschätzung zum Infektionsgeschehen in einer Pandemie. Hersteller und Betreiber von unsicheren Geräten müssen neben den finanziellen Risiken auch mit Imageschäden rechnen.

Wettrennen um die Patientensicherheit

Cybersecurity-Risiken sollten frühzeitig und kontinuierlich über den gesamten Produktlebenszyklus berücksichtigt werden – von der Entwicklungsphase, über die Herstellung, Installation und Wartungsphase. Der Grund dafür ist, dass täglich neue Schwachstellen gefunden und veröffentlicht werden, die IVD-Geräte angreifbar machen können. Diese Sicherheitslücken kommen zum Beispiel aus Modulen oder Bibliotheken von Programmiersprachen und Betriebssystemen. Als Folge müssen die Hersteller kontinuierliche Risikoanalysen betreiben, permanent Updates für ihre Geräte anbieten, sie auf dem neuesten Stand halten und gegebenenfalls kurzfristig reagieren.

IVD-Geräte erfordern die gleiche Cybersecurity-Betrachtung wie vernetzte Medizinprodukte. Das schließt Threat Modeling bzw. Threat-Analyse ein – Verfahren zum Cybersecurity-Risikomanagement – mit dem Ziel, die Bedrohungen frühzeitig zu identifizieren und Maßnahmen davon abzuleiten. Die verpflichtende regulatorische Basis ist die IVDR, deren Annex I grundlegende Anforderungen an die Cybersecurity enthält. Weitere Hilfestellung bieten die so genannten MDCG-Leitlinien der Medical Device Coordination Group der EU, Positionspapier der Benannten Stellen, sowie die ISO 14971 für das Risikomanagement bei Medizinprodukten und die IEC 81001-5-1 für die sicherheitsbezogenen Aktivitäten im Software-Lebenszyklus.

TÜV SÜD hat zusätzlich drei Whitepaper erarbeitet, von denen Hersteller und Betreiber profitieren: eines zur Cybersecurity von Medizinprodukten nach IEC 81001-5-1, einer Health-Software-Norm, und eines zum Produktstandard IEC TR 60601-4-5 für medizinisch-elektrische Geräte sowie ein ganz aktuelles direkt zur Cybersecurity von IVD-Geräten und -Produkten.

Fünf-Stufen-Ansatz für bestmögliche Sicherheit

TÜV SÜD verfügt über akkreditierte Prüflabore und bietet umfassende Prüfleistungen und Testing-Services für IVD-Geräte und -Produkte sowie produktindividuelle Cybersecurity-Tests. Je nach Stand des Produktes im Lebenszyklus umfasst das fünf Stufen:
  1. Training zu den Normen und regulatorischen Vorgaben
  2. Early-Bird-Assessment
  3. Fuzzing
  4. Vulnerability Scanning
  5. Penetration-Test (simulierter Cyberangriff).
TÜV SÜD betreibt zudem das einzige akkreditierte Prüf- und Validierungslabor für die IEC TR 60601-4-5. Die Expertinnen und Experten kennen die unterschiedlichen länderspezifischen regulatorischen Anforderungen. Sie unterstützen Hersteller, ihre Geräte und Produkte sicher und zeiteffizient in Verkehr zu bringen und wissen auch um die Anforderungen an eine rechtssichere Dokumentation.

IVD-Geräte und Produkte, die bereits vor dem Geltungsbeginn der IVDR rechtmäßig in Verkehr gebracht wurden, dürfen derzeit unter bestimmten Voraussetzungen weiterhin befristet in Verkehr gebracht werden (IVDR, Artikel 110). Allerdings laufen die Übergangsfristen je nach Risikoklasse des Produkts schon bald ab: Für Risikoklasse D ist es der 26. Mai 2025, für Klasse C der 26. Mai 2026, für Klasse B und für Produkte der Klasse A, die in sterilem Zustand in Verkehr gebracht werden, der 26. Mai 2027. 

Dr. Alexander Stock: „Schon heute zeichnet sich ein hoher Bedarf an Konformitätsbewertungen und damit Engpässe bei den (wenigen) Benannten Stellen ab. Wir empfehlen den Herstellern daher dringend, sich schon heute eine Benannte Stelle zu suchen. Sie sollten keine Zeit verlieren, um ihre technische Dokumentation vom Stand der Vorläuferrichtline auf das Niveau der heute gültigen IVDR zu heben.“

Weitere Informationen:

Website Promotion

Website Promotion

TÜV SÜD AG

Im Jahr 1866 als Dampfkesselrevisionsverein gegründet, ist TÜV SÜD heute ein weltweit tätiges Unternehmen. Mehr als 26.000 Mitarbeiter sorgen an über 1.000 Standorten in rund 50 Ländern für die Optimierung von Technik, Systemen und Know-how. Sie leisten einen wesentlichen Beitrag dazu, technische Innovationen wie Industrie 4.0, autonomes Fahren oder Erneuerbare Energien sicher und zuverlässig zu machen. www.tuvsud.com/de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.